Cyberthreat.id – Peneliti Check Point mengungkapkan bahwa aktor ancaman yang didukung negara Iran yang dikenal sebagai Agrius”, menyebarkan ransomware baru bernama 'Moneybird' ke berbagai organisasi Israel.

Dikutip dari Bleeping Computer, peneliti mengatakan Agrius telah secara aktif menargetkan entitas di Israel dan kawasan Timur Tengah setidaknya sejak 2021 dengan berbagai nama samaran sambil mengerahkan penghapus data dalam serangan yang merusak.

“Kami percaya bahwa Agrius mengembangkannya untuk membantu memperluas operasi mereka, sementara penggunaan 'Moneybird' adalah salah satu upaya kelompok ancaman untuk menutupi jejak mereka,” kata peneliti Check Point.

Peneliti Check Point mengatakan pelaku ancaman awalnya mendapatkan akses ke jaringan perusahaan dengan mengeksploitasi kerentanan di server publik, memberikan Agrius pijakan awal dalam jaringan organisasi. Selanjutnya, para peretas bersembunyi di balik node ProtonVPN yang berbasis di Israel untuk menyebarkan varian webshell ASPXSpy yang tersembunyi di dalam file teks "Sertifikat", sebuah taktik yang telah digunakan Agrius dalam kampanye sebelumnya.

Setelah menyebarkan webshell, penyerang melanjutkan untuk menggunakan alat sumber terbuka yang membantu pengintaian jaringan menggunakan SoftPerfect Network Scanner, gerakan lateral, komunikasi aman menggunakan Plink/PuTTY, pencurian kredensial dengan ProcDump, dan eksfiltrasi data menggunakan FileZilla.

Pada fase serangan berikutnya, Agrius mengambil ransomware Moneybird yang dapat dieksekusi dari platform hosting file yang sah seperti 'ufile.io' dan 'easyupload.io.' Saat diluncurkan, jenis ransomware C++ akan mengenkripsi file target menggunakan AES-256 dengan GCM (Mode Galois/Counter), menghasilkan kunci enkripsi unik untuk setiap file dan menambahkan metadata terenkripsi pada akhirnya.

Dalam kasus yang dilihat oleh Check Point, ransomware hanya menargetkan "F:\User Shares", folder bersama yang umum di jaringan perusahaan yang digunakan untuk menyimpan dokumen perusahaan, database, dan file terkait kolaborasi lainnya. Penargetan yang sempit ini menunjukkan bahwa Moneybird lebih bertujuan menyebabkan gangguan bisnis daripada mengunci komputer yang terkena dampak.

“Pemulihan data dan dekripsi file akan sangat menantang karena kunci pribadi yang digunakan untuk mengenkripsi setiap file dihasilkan menggunakan data dari GUID sistem, konten file, jalur file, dan nomor acak,” kata peneliti.

Setelah enkripsi, catatan tebusan dijatuhkan pada sistem yang terkena dampak mendesak korban untuk mengikuti tautan yang disediakan dalam waktu 24 jam untuk petunjuk tentang memulihkan data mereka. Tidak seperti serangan sebelumnya yang terkait dengan Agrius, Moneybird diyakini sebagai ransomware, bukan penghapus, yang dimaksudkan untuk menghasilkan pendapatan guna mendanai operasi jahat pelaku ancaman.

Namun, dalam kasus yang dilihat oleh Check Point Research, permintaan uang tebusan sangat tinggi sehingga sejak awal diketahui bahwa pembayaran tidak mungkin dilakukan, membuat serangan tersebut pada dasarnya merusak.

“Negosiasi bisa saja dilakukan, tetapi permintaannya sangat tinggi, yang membuat kami percaya bahwa itu adalah bagian dari tipu muslihat, mereka tahu tidak ada yang mau membayar sehingga kerusakan dan data yang bocor sudah diperkirakan. Itu bukan wiper,"kata  Eli Smadga, Research Group Manager di Check Point Research.

Check Point menjelaskan bahwa Moneybird tidak memiliki kemampuan parsing baris perintah yang memungkinkan konfigurasi khusus korban dan lebih banyak keserbagunaan penerapan dan sebagai gantinya bergantung pada blob konfigurasi yang disematkan. Ini berarti parameter perilaku ransomware sudah ditentukan sebelumnya dan tidak dapat dengan mudah disesuaikan untuk setiap target atau keadaan, membuat ketegangan tidak cocok untuk kampanye massal.

Namun, bagi Agrius, Moneybird masih merupakan alat pengganggu bisnis yang efektif, dan pengembangan lebih lanjut yang mengarah pada peluncuran versi yang lebih baru dan lebih mumpuni mungkin menjadikannya ancaman yang hebat bagi organisasi Israel yang lebih luas.